Vaatasin, et paljud e-riigi rakendused kasutavad rõõmsalt Google Analytics teenust. Tuttav koodirida:
var gaJsHost = ((“https:” == document.location.protocol) ? “https://ssl.” : “http://www.”);
document.write(unescape(“%3Cscript src='” + gaJsHost +
“google-analytics.com/ga.js’ type=’text/javascript’%3E%3C/script%3E”));
Tavaliselt ma seletan asju, nüüd küsiks ! Miks lingivad riigi rakendused, kus isikuandmed ja muud teenused, välismaise teenusepakkuja JS faile ? Arvan, et vastus oleks, Google ei kuritarvitaks veebilehe andmeid.
– Aga miks pangad ei lingi “suvalisi” faile enda rakendusse…
Google Analytics teenuse kasutamine pildi kujul ei tekitaks probleemi, samuti kui Google failid paikneks samal serveril.
Mis selles teoreetilises turvariskis nii erilist ?
Inimene ei märkagi, et midagi viltu on, sest veebileht mis seda kasutab töötab väga ilusasti. Isegi, kui inimene näeb taskbaril hüüumärki ei suvatse ta sellele tähelepanu pöörata, sest vigaseid JS lehti terve maailm täis.
Mis kõige toredam, (hack) asi töötab HTTPS’iga. Pole vaja mingi keerulist man-in-the-middle rünnakut teha.
Teades palju meil toredaid avatud Wifi ruutereid, mida saab konfida isegi naabrimees, on asja teostamine veelgi lihtsam. Siis olemas palju toredaid veebiteenuse pakkujaid, kuhu saab korraliku https serveri püsti panna ja ka sertifikaate millel 21 päevane kasutusaeg.
Teisel juhul tuleks kasutaja https veebilehel hoiatus “self-signed certificate”, isegi kui väline fail https kaudu.
Mina tegin demo lokaalseks testimiseks:
– selleks pange hosts faili read
127.0.0.1 google-analytics.com
127.0.0.1 http://www.google-analytics.com
127.0.0.1 ssl.google-analytics.com
Need võivadki sinna jääda, siis pole teil muret statistika kohta, mis teie kohta kogutakse.
Tegin ühe testrakenduse, et “probleemi oleks võimalik näha”. Trackers tegemist kodukootud http/https serveriga. Programmi käivitamisel võib Windowsi tulemüür küsida, kas lubame serveril töötada. Kui oled julge mees vastad jah (unblock) 😉 Lihtsalt, kui test-tarkvara teen, siis ma hoidun kasutaja arvuti seadete muutmisest ja üldse ei taha midagi kuhugi kirjutada !
Targemad, kes viitsivad https testida, peavad self-signed SSL serdi tegema. Programm kasutab: ca.key, server.crt,ca.crt. See self-signed tuleb ka Firefoxis exception listi panna ! IE’s Install Certificate ja certificate store “Trusted Root Certification Authorities”. Kõik testprogrammi failid,peavad ise asuma openssl/bin kataloogis. Kogu mäng Openssl abil.
Jah, kõlab ikka kõik teoreetiliselt, aga lokaalselt saaks troojakas täpselt samamoodi sekkuda SSL ühendusse…kus GA esindatud ja ei paikne leheküljega samas domeenis !
– Kes ei viitsi niipalju mässata ja on hosts faili ära muutnud, võtku näiteks leht veebisirvijas
http://www.ria.ee/
Mina muudan vaid html lehe päist, aga kujutage ette seda javascript hooki koos AJAX toetusega…pole eriti meeldiv.
Muideks otsige Adblock postitus minu lehelt üles. Adblock toimib hästi ka Google Analyticsi puhul.
Kui minu demo ei tööta, siis ongi enamasti Adblock peal 😉
Allpool siis pildid katsetustest, mis töötasid, nii http/https (kahjuks WordPress muutis pildid imelikuks) !
Ingmar Tammeväli 
jaanuar 15, 2009, 16:29 |
Huvitav leid. Polegi selle peale varem mõelnud.
jaanuar 22, 2009, 11:04 |
kuna bloge juba veidi aega tagasi on vallutanud “meemi hullus” siis viskan meemikivi ka sinu blogi kapsaaeda: http://www.friizu.pri.ee/archives/1021/otsin-uusi-blogituttavaid-meem/
jaanuar 26, 2009, 11:31 |
See on ikka päris suur turvaauk. Ei tuleks isegi selle peale, et panna selliste kõrge turvanõudega portaalidele GA-d või mõne kolmanda osapoole skripte külge.
jaanuar 26, 2009, 13:23 |
Väga huvitav jutt. Siiski, millist alternatiivi pakuksid korraliku kasutajastatistika saamiseks?
jaanuar 26, 2009, 13:50 |
Asi selles, et lihtsa statistika saaks Googles kätte isegi pildifaili abil, see pole probleem. Probleem on javascript failides, mis lingitakse teisest domeenist ! Riigiportaalidel peaks olema enda turvaline “statistikamootor”.
jaanuar 26, 2009, 14:24 |
See kõik on ju õige, aga Ingmar, mida Sa sellega öelda tahad? Sa eeldad, et saad muuta interneti marsruutimisteekondi ja siis ütled, et X-Tee on ebaturvaline?
See ei aita midagi kui riigiportaalidel oleks enda turvaline statistikamootor. Kui oleksin pahalane, siis ma kirjutaks sinna hosts faili, et:
riigiturvalinestatistikamootor.ee 127.0.0.1
või
osale.ee 127.0.0.1
ja paneks localhosti või kuhu iganes jooksma niisuguse “turvalise mootori” nagu endal vaja. Ka veebi mockimine (javascripti asemel läheb ümbermarsruuditud PHP rakendus) ei ole eriti keerulisem kui sinu pakutud exploit.
Kui keegi saab teha nii fundamentaalset asja nagu domeeniaadressi ümber marsruutimine ja Sinu hüpoteetiline kasutaja on nii loll, et sertifikaate kontrollima ei vaevu, siis minu arust ei ole sobilik rääkida X-Tee rakenduse “august”.
Võib-olla ma ei saanud päris täpselt aru, kus konkreetselt Sa ikaldust näed, aga hetkel ütleks küll, et false alarm.
jaanuar 26, 2009, 14:39 |
Küsi endalt nii, miks pangad ei kasuta siis GA teenuseid…kuna neil tehtud riskianalüüs.
See näide hosts failiga oli lihtsalt vajalik, et demo teha. Reaalselt on meil palju toredaid ruutereid, mida saab remotega konfida ja kus tore default parool peal. Siis olemas toredad DSN teenused, kus vastavalt päringutele suunad õigetele lehtedele. Nüüd oled onu paha mees, paneb püsti SSL serveri kuhugi ja suunad vajalikud päringud sinna, SSL serdi saad ka 30 päeva. Ei saa mingit serdi viga ka, rõõmsalt ja roosalt kasutad oma lehte edasi, ilma, et märkaks GA lehele on tehtud totaalje hijack….
Tegemist pole mingi hüpoteetilise hijack võimalusega, vaid täitsa reaalse ja proovitud variandiga. Kui saad SSL lehe sisu läbi teise lehe manipuleerida on turvarisk olemas – olgu meetod kasvõi ……kaudu hammaste ravi ! SSL lehel ei tohiks olla faile, mis pärinevad teisest domeenist. See pole ainult X-tee teema.
Ntx. krüpteerimata ühenduste puhul on nagu absurd eeldada turvalisust 🙂
jaanuar 26, 2009, 15:11 |
SEB kasutab GAd, Nordea samuti hostitud Omniture SiteCatalysti. Kõik kes vähegi äri tahavad oma lehel teha peavad väga põhjalikult statsi uurima. selleks ei piisa mingist põlveotsavärgist. Lisaks on GA saadaval ka oma serverisse pandaval kujul – Urchin from Google.
Samahästi võiks väite, et riigiasutused ei tohiks üldse erafirmade poolt loodut kasutada, sest mine tea mis seal sees võib olla.
Hostitud teenused on tulevik nii era- kui ka riigisektoris. See, et aegajalt mõni turvaaps välja tuleb on arengu osa.
jaanuar 26, 2009, 15:25 |
Ma ei ajagi taga ülimat tõde. GA enda domeeni panek on ka pääsetee! Aga niimoodi linkida GA’d nagu hetkel on ülimalt vale…
Väita, et selline js failide linkimine pole turvarisk on ka väga vale. Keegi peab tähelepanu juhtima probleemile, muidu mõni vaikne hiir kasutab seda omatarbeks….
jaanuar 26, 2009, 15:27 |
Ingmar, minu arvates pole Sinu stsenaarium turvaauk. See on lihtsalt stsenaarium. Et mis juhtub siis kui kasutaja on loll nagu aiateivas (ei kontrolli sertifikaate) ja saab suvaliselt ümber marsruutida domeene.
See on elementaarne, et inimene kontrollib sertifikaate ja jälgib, mis ikoone veebilehitseja talle näitab. Väita, et ei ole, oleks sama imelik kui väita, et autoga sõites ei pea inimene jälgima juhtpaneeli (näiteks spidomeetrit ja kütusehulka) või et pangas pole vaja isikutunnistust küsida.
Mis puutub lahtistesse ruuteritesse, siis neid ma viimastel aastatel kohanud pole. Isegi avalike internetipunktide omad pole avalikult konfitavad. Või oskad Sa mulle kätte näidata mõne WiFi ruuteri Tallinna kesklinnas, mida saab avalikult konfida?
Minu arvates on paranoiaosuti punasesse keeratud asjatult.
jaanuar 26, 2009, 15:46 |
Tavakasutaja ongi…mitte just kõige eredam täht taevas. Kuna tegelesin kunagi troojakatetõrje tarkvara tegemisega, siis käisin mööda klientide arvuteid ja sain aru, kui tuhm täht see on. Samas sain sealt teadmised, kui lihtne on isegi nende https lehelt andmeid varastada. See, et troojakas teeb BHO objekti ja paned IE külge/või objekti, mis IE päringuid monitoorib või Firefox plugina, täielik sääse tapmine kirvega. Kui https lehe andmeid saab varastada tänu sellele, et hosts faili ntx muudad ja muudan suvalise svchost.exe omale ohvriks, injectid serveri koodi sinna sisse, tulemüür võib muidu pahandada. Nendega saab ka muidu teistmoodi hakkama. Siis kõik su https lehed, kus GA sees on muudetavad ja andmed kättesaadavad.
Veelkord, ei tohi eeldada, et tavakasutajad jagavad mingitest ikoonidest taskbaridel …
Aga ausalt öeldes, kuidas see teema järsku muutus aktuaalseks, pigem oli see pühapäeva turvademo tuttavale 🙂
Wifi ruutereid avalikke, heh…ma ei hakka aadressi andma. Üks oli kohe minu tuttava Wifi ruuter, mida sai rõõmsalt läbi Wifi konfida. Mustamäe tore kant, võid sealt väikese researchi teha. Võta siis korralik Wifi antenn ka.
jaanuar 26, 2009, 15:58 |
Jah. Siit vist meie erinevad arvamused tulevadki 🙂 Et Sina arvad, et ei tohi eeldada nagu kasutajad saaksid aru, mis toimub. Mis on niisugusele eeldusele toetumise tulemus aasta pärast? Kasutajad jäävad järjest lollimaks ja järjest enam tekib probleeme.
Sinu mainitud troojatõrje tarkvara kirjutajatele on see muidugi hea uudis. Et kasutajad muutuvad järjest lollimaks ja neile tuleb järjest vingemat tõrjetarkvara kirjutada. Selles suhtes saan motiividest aru 🙂
Kuna aga mina viirusetööstuses ei tööta, siis eeldan, et kasutajad peavad vähemalt kasutajaliidese tasemel aru saama, mis toimub. Kui vaja siis peavad nad seda õppima läbi rahaliste kaotuste kuni lõpuks jõuab kohale nende peakolusse, et internetis võib neid tehniliselt sarnases võtmes petta nagu tänaval mustlased. Sellega olen nõus, et niisuguse hoiaku laiem omaksvõtt mõjuks viirustööstuse mõlemale poolele üsna laastavalt…
Aga jah. Ei ole mina siiamaani kohanud ühtki avalikult konfitavat ruuterit.
jaanuar 26, 2009, 16:02 |
Vähemalt mõningasele üksmeelele jõudsime ! Tõsiselt seda aega ei tule, kui kasutaja saab aru, mis toimub. Ma isegi ei tea miks, tavaliselt kui inimene on milleski hakanud arusaama, siis tuleb uus tehnoloogiaime, mis eelmised teadmised tühistab. Kui ntx SSL serdi probleem või muu oleks puust ja punasest eesti keeles, siis kasutaja (ehk)saaks aru. Hetkel ta loeb….blaa blaaa blaaa mingi cert on invalid jne jne paljud isegi ei tea, mis asi on sertifikaat ! Siin ongi meie IT meeste asi teha nii, et kasutajatele ei saaks tünga teha kasvõi GA trikiga.
jaanuar 26, 2009, 16:34 |
Tere,
Olen ka mina seisukohal, et autor on teema pisut üle paisutanud. Kui pahalasel on võimalus otsustada kellegi ruutingu teekondade üle, siis GA mitte kasutamine ei tee kasutaja jaoks olukorda kuidagi paremaks.
Ma ise olen põgusalt tutvunud WebScarab’i nimelise tarkvaratükiga mis võimaldab väga hõlpsalt manipuleerida serverisse mineva- ja sealt tuleva infoga. Seda nii üle http, kui ka https’i. Kui ma oleks pahalane ja mul oleks võimalus otsustada kellegi ruutingute üle, siis suunaks vastava liikluse läbi oma proxy ja tõtt-öelda poleks mul sooja ega külma GA kasutamisest…
Ma tahan öelda seda, et kui kasutaja võrk ei ole vähemalt elementaarsel tasemel turvatud ja ei tea ta ka brauseri hoiatusikoonidest midagi, siis portaalipidajatel on olukorda väga raske parandada (kui mitte võimatu).
WebScarab’i kohta rohkem lugemist: http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
———————————-
Siinkohal mainin ka kohe ära, et esindan selle kommentaariga oma isiklikku arvamust ja see ei ole kuidagi seotud minu poliitiliste-, usuliste- või professionaalsete kuuluvustega ühte või teiste organisatsiooni.
jaanuar 26, 2009, 16:37 |
“See on elementaarne, et inimene kontrollib sertifikaate ja jälgib, mis ikoone veebilehitseja talle näitab.”
See on soovunelm, mis ei ole kuidagi reaalsusega seotud. Võta oma paar mittearvutimehest sõpra ja tee kasutajatest. Siis näed reaalset elu.
jaanuar 26, 2009, 16:44 |
Täiustaksin seda arvamust, olen selle testi teinud 10 igapäevaselt arvutikasutajalt, kes panka logivad veel paroolikaardiga ntx, mis asi on sertifikaat.
Vaadati suurte silmadega otsa, et nad on ISO sertifikaadist midagi kuulnud … küsisin ID kaardi sertifikaadist olete midagi kuulnud. Vastus: kas ID kaart läbis mingi testimise 😉
Küsisin, kas sirvija taskbari/teateid jälgid või mis sa enamasti vastad. Nagu ikka, keegi midagi ei jälgi ja alati vastus Ok 🙂
Tegemist pole huumorinurgaga vaid reaalne elu !
jaanuar 27, 2009, 00:01 |
“See on soovunelm, mis ei ole kuidagi reaalsusega seotud. Võta oma paar mittearvutimehest sõpra ja tee kasutajatest. Siis näed reaalset elu.”
Asi pole selles, kas ma seda soovin või mitte. Olen igati kursis reaalsusega. Inimesi ei huvita, sest nad on harjunud, et IT-inimesed söövad kõik kokkukeedetud jamad alati ära. Reeglina tasuta.
Minul on kama kaks, kas mõni tegelane jääb oma rumaluse tõttu rahast ilma või lööb KAPO tema ukse maha, sest botnet kaubitseb tema lauaarvutis lastepornoga. Vaatan kaastundlikult, aga arvan sellegipoolest, et täiskasvanud inimesed vastutavad oma valikute eest ise ja seda ka internetimaastikul. Kes on ennast harida ei viitsi, on ise süüdi.
jaanuar 27, 2009, 09:25 |
Priit, SEB kasutab küll GA-d, kuid ainult oma staatiliste sisulehtedel ehk frontendis, kuid mitte kasutaja konto poole peal.
jaanuar 27, 2009, 09:30 |
Lisaks veel, et kommenteerijad pole hästi aru saanud teemast, mida tingmarprog silmas pidas.
Siit on ju hästi näha, et Google’l on ideaalne võimalus audentitud ja krüpteeritud lehel infot edasitöötlemiseks võtta.
Jutt ei käi üldisest stati mõõtmisest, milleks GA on ideaalne, vaid just see, mida eelnevalt nimetasin ja mida tingmarprog ka demo-ga näitas, et kuidas Google võiks sisu manipulteerida (või lugeda).
jaanuar 27, 2009, 09:41 |
Väide oli, et pangad ei kasuta GAd. Kasutavad! Staatilised lehed? Ma kaldun arvama, et need pole staatilised, aga ma ei tea sinu definitsiooni sellele.
“Kui pahalasel on võimalus otsustada kellegi ruutingu teekondade üle, siis GA mitte kasutamine ei tee kasutaja jaoks olukorda kuidagi paremaks.” kirjledab vist situatsiooni kõige paremini.
jaanuar 27, 2009, 10:05 |
Staatiliste lehtede all mõtlen, mis on sisuhaldusega lisatud, mitte päris “staatiline”, dünaamiliseks aga pankade puhul pean just audenditud poole peal genereeritud lehed (kontode ülevaated jne), kuhu näiteks ID-kaardiga sisse logid.
mitteaudenditav pool: http://www.seb.ee/index.php siin on GA
audentitav pool: id.seb.ee/ … siin GA puudub
x-tee puhul aga on mõlemal juhul GA script-tag kaasatud — see ongi turvarisk
ruutinguga pole siin miskit pistmist.
näiteks lehel:
https://portaal-id.riik.ee/x/kodanik/
kui olen sisse logitud ID-kaardiga, lehel on minule visuaalset näha isikukood, “source”-s aga ilutseb script-tag google koodidega, mis teeb sisu nähtavaks kolmandale osapoolele.
jaanuar 27, 2009, 10:19 |
@tingmarprog – See, et paljusid serdid ei huvita on teine probleem. Hea näide sellest siin: http://www.mail-archive.com/dev-tech-crypto@lists.mozilla.org/msg04900.html
@CD – JS, mis küll on obfuskeeritud GA puhul on täpselt sama loetav kui igasugune teine teek, mida kohalikust serverist kasutada. Olen kindel, et veebiarendajad mõtlevad kaks korda ennem kui kasutavad scripti, mille sisust neil aimu ei ole. Ehk siis Google ei ole varastamas lehe sisu ja kui kellelgi on kahtlus võtku vastavad meetmed kasutusele. Sama käib kõige 3rd party JS teekide kohta.
@Priit – Yup, nii ta on. Siin ei ole GA süüdi vaid kui juba keegi teeb ruutingut ümber võib ta samahästi domeen.ee/scripts/kodukootud.js’i asemel tagastada mingisugust oma sisu mitte ainult ga.js asemel.
jaanuar 27, 2009, 10:59 |
Ruuterite kohta, naiivitaritele:
Üldiselt jagab Elion SpeedTouch purke, millel defaultis on wifi aktiveeritud ja peal 64 bitine WEP võti.
Samuti saadavad need ruuterid iga natukese aja tagant suvaliselt pakette.
Lisaks eeltoodule ei oma need SpeedTouch purgid mitte mingit parooli admin ligipääsu jaoks http kaudu ning Telneti kasutajanimi on Administrator.
64 bit WEP võtme kräkkimine võtab minul alla 30 sekundi. Ma ei tee nalja.
Tehkem silmad lahti, KOGU EESTI on avalikult konfitavaid ruutereid täis. Kui keegi viitsiks kirjutada sellele GA asjale korraliku Exploiti, mis andmeid varastab, paar wifi skripti ning siis natuke suurema wifi antenniga ringi sõita suvaliselt, siis saaks väga palju kurja teha.
Kuna injectida saab suvalist javascripti ja on ajax tugi, siis miski ei peata ajaxit kasutades submiti peale lugeda kõik “input” väljad või koguni kogu DOM-i ja see veel kolmandasse kohta submittida.
See blogipostitus ei ole kuidagi üle pingutatud. Kui te ei näe miks, siis minu arvates te lihtsalt ei oma piisavalt kompetentsi antud teemal.
Vihjeks – küsimus pole niivõrd Google-s, vaid selles, et lingitakse offsite javascripti tähtsatel lehtedel.
jaanuar 27, 2009, 11:40 |
Tore näha, et ma ainsana kuradeid nurgas ei näe 😉
See remote JS failide linkimine kohtades, kus sensitiivne info pole just eriti geniaalne. Sellise tarkvara kirjutamine, mida kirjeldasid pole eriti keeruline; skännitakse ruutereid ja proovitakse konfida.
Paljud räägivad sertifikaatide veast. Nii mõtleme nüüd laiemalt, teen Wifi ruuterite konfile hijacki, suunan kuhugi oma DSN serverile. Veebis piisavalt ka custom DSN teenuse pakkujaid. Panen kuhugi püsti serveri, mis kasutab Thawte 21 päevase trialiga sertifikaadi ja ei mingit hoiatust, et sertifikaat ei kehti.
Loodame, et see “paranoiline” artikkel avas inimeste silmi, eriti SSL lehele remote JS failide linkimisest.
jaanuar 27, 2009, 12:04 |
Jään siis huviga ootama “ohustsenaariumi”realiseerumist: suured õnnetused teemal X-Tee ja Google Analyticsi domeeni spoofimine.
Olen üsna kindel, et neid õnnetusi võibki ootama jääda, olenemata sellest, kas RIA midagi ette võtab või mitte.
jaanuar 27, 2009, 12:11 |
@tingmarprog – Remote JS failide linkimine ei ole ohtlikum kui sama domeeni failide linkimine. Seda 21 trial trikki võid teha suvalise HTML lehe seest viidatava resurssi kohta.
@Nullpointer – Ria ei pea midagi muutma. Antud MIM ründevektor lihtsalt töötab HTTPS puhul nii kaua kui inimesi ei huvita punane taskbar või kasutab suvalist WIFI võrku, mille läppar ülesse leidma juhtub ja rohelise taskbari puhul ei hakata vaatama serdi infi.
jaanuar 27, 2009, 12:16 |
@GM Offiste ja onsite linkimine eriti vahet ei tee. Kui on HTTP siis ma lihtsalt injectin nii palju offsite asju sisse nagu ise tahan. Kui on HTTPS siis osadele onsite asjadele annan vigase serdiga vastuseid just sellise sisuga nagu ise tahan.
jaanuar 27, 2009, 12:17 |
tom_ , asi ei ole remote js-failide linkimine, vaid muret valmistab siin rohkem kolmanda osapoole failide linkimine.
jaanuar 27, 2009, 13:41 |
Kusjuures ssl offsite linkide osas proovisin kuidas brauserid nendesse suhtuvad, täpsemalt, siis nendesse millel on sertifikaadiga probleeme. Firefox 3 ei käivitanud üldse välist skripti ega pakkunud ka kasutajale võimalus seda käivitada. Oleksin muidugi lootnud selle kohta punast teadet aga see selleks.
IE 7 vaikimisi ei käivitanud, kuid pakkus kasutajale välja võimaluse seda teha.
Kuna kogu huvitav liiklus riigiportaalide ja kodaniku vahel käib üle https’i, siis tegelikult välistavad brauserid sellisel kujul võimalikud XSS ründed.
Kuna autor mainis trial Thawte serte, siis mul vähe usku, et sul õnnestub saada sert *.google.com’i jaoks vms. Ehk mis ma tahan öelda on see, et kui sul ei õnnestu kasutaja brauseri jaoks oma serte usaldusväärseks teha (ise genereerimise korral on pole usaldusväärne CA ja trial’i korral ei lange domeeninimi kokku), siis XSS rünnet on väga raske sooritada kuna brauser ei käivita seda skripti.
Teisalt, kui sul õnnestub juba manipuleerida kasutaja brauseri sertifikaadi usaldatavusega, siis pole ründe jaoks enam GA “augu” kasutamine vajalik ja tema olemasolu või -puudumine ei mängi enam rolli.
jaanuar 27, 2009, 14:52 |
Miks ma üldse GA teema võtsin, sest see peaaegu kõikides riigiportaalides.
Hmm…lihtsa andmete varastamise kriteerium
* teen tarkvara, mis istub läpparis ja nö kuhu autopargin vend tegutseb, otsib võrke, teeb oma asja
* võtan panen dnsiks ruuterites opendns aadressi, kus saan ise konfiga, kuhu reaalselt see GA edasi suundub
* võtan mingi välismaa hostingu pakkuja neid miljoneid, teen sinna accoundi panen testiserdi ka külge
* emuleerin kõiki välja kutsutavaid GA funktsioone, GA identifikaatori järgi saan teada, mis lehega tegu.
Vastavalt teen javascripti, et tooks sealt lehed andmed mulle mida vajam
Mida sirvija taskbar näitab ? Arvan, et mitte midagit….
Tavaline HTTP seal pole üldse mõtet rääkida turvalisusest, võid suvalisi asju linkida remotena.
Ma olen kindel, et riigiasutuste poolt kuulutatakse see teema ka MINOR probleemiks…;)
Piisaks, kui SSL puhul GA funktsionaalsust kasutatakse sama domeeni piires, failid samasse domeeni…see oleks rohi. Ning ei mingit probleemi.
Ntx mina ei tea, keda sellest probleemist teavitada, et väike fix tehtaks SSL lehtedele.
_____________
Pigem vaevab mind ka teine “paranoline” küsimus, paljudel riiklikel lehekülgedel sensitiivne info ja GA lingitakse külge. Ma tean, et GA lehelt mingeid isiklikke andmed ei võta…veel…
jaanuar 27, 2009, 15:15 |
RIA pool on asjast juba teadlik, pidavat vaatama.
jaanuar 27, 2009, 15:57 |
Rõõm teatada, et vähemalt http://www.eesti.ee puhul see tsenaarium enam ei tööta ! Nüüd on GA fail seal, kus ta peab olema 😉
jaanuar 27, 2009, 15:56 |
Arutasime tom_ -ga natuke asja.
Ja nõustusime, et:
Antud exploit teeb asja lihtsamaks. Muud midagi.
Selle käitamiseks on siiski vaja spoofida DNS-i kuidagi.
Selleks on minu teada võimalused järgmised:
1) Ruuteri teema
2) Trooja
3) ARP Poisoning
Kui sul kasvõi üks neist võimalustest on avatud saad sa nagunii kõike varastada mida tahad, ilma selle exploitita.
Kus siis on jutu mõte? Selles, et selle exploidiga saab asja teha suvaline script kiddie.
1) Ruuteri puhul ei pea tegema man-in-the-middle rünnakut ja kõiki ühendusi ümber suunama, vaid piisab kas hosts file või DNS serveri muutmisest ruuteris.
2) Trooja puhul ei ole vaja teha välisühendusi vaid ainult hostsfile muuta. See teeb trooja halvemini avastatumaks tulemüüride jne poolt.
Seega – kui kellelgi on sinu võrgule selline ligipääs, mis on vajalik, et antud turvaauku ära kasutada, oled sa nagunii omadega metsas. Antud turvaauk lihtsalt teeb lihtsamaks asja skaleeruvuse suurte massideni.
jaanuar 27, 2009, 17:36 |
To tingmarprog:
Sinu viimase skeemi kasutamise korral ei juhtuks midagi halba. Kui sa oled hosts faili kaudu või teiste vahenditega suunanud GA pöördumise omale meelepärasesse välismaa serverisse, siis eeldab kasutaja brauser, et seal on kasutuses ka GA domeenile vastav sertifikaat. Kui aga sealt vaatab vastu Thawte 21-day trial mis on välja antud “mina.teen-paha-paha.com” domeenile, siis kasutaja brauser lihtsalt ingnoreerib seda skripti ja midagi ei juhtu. Seda kuidas brauserid asjasse suhtuvad kirjeldasin oma eelmises kommentaaris.
jaanuar 27, 2009, 17:49 |
Kardan, et vanemate sirvijatega pole lood nii head ja tavakasutaja ei ole uuendusmeelne. Kui riigi lehtedel GA tõsta script samasse domeeni, pole enam isegi teoreetiliselt võimalik seda olukorda kasutada. ntx. http://www.eesti.ee nüüd bro
jaanuar 27, 2009, 17:55 |
To GM:
Sinu kommentaarist jäi silma selline rida mida natuke täpsustaks:
Kus siis on jutu mõte? Selles, et selle exploidiga saab asja teha suvaline script kiddie.
Nn “GA auku” on autori pool seatud eelduste korral lihtne exploitida vaid http ühenduse korral. Kuna kõik huvitav info liigub üle https’i siis ei ole reaalselt sealt midagi varastada. Halvemal juhul õnnestub selle kaudu mõni phising skeem realiseerida.
Kui aga minna uuesti teooriasse, siis selleks, et antud “GA auku” exploitida https ühenduse korral on vajalik manipuleerida sertifikaatide usaldatavusega. Kui on juba olemas sellised võimalused, siis ma ei näe enam vajadust kasutada “GA auku”.
Kokkuvõttes ma tahan öelda, et autori poolt kirjeldatud tingimuste korral ei ole GA kasutamine või mitte kasutamine määrav ega oluline.
jaanuar 27, 2009, 18:08 |
To tingmarprog:
Ei võtnud vaevaks ka mina proovida vanemate brauseritega. Samas olen kuulnud, et riigiportaalidele on tehtud mitmeid turvaauditeid kus sertifitseeritud audiitorid ei ole näinud ohtu sellisel kujul kolmandate osapoolte koodi kasutamises. Täpsustuseks, siis niipalju, et ei nähtud ohtu GA kasutamises. Seega võiks justkui oletada, et käituvad ka vanemad brauserid selliselt…
———–
Kokkuvõttes niipalju, et kogu minu poolne pahameel selle artikli vastu tekkis sellest, et artikkli sisust võis järelduda nagu kogu e-riik koos oma portaalide ja x-teega on nii meeletult ebaturvaline ja vaadake mida kõike kerge vaevaga teha saab jne. Samas oli autor seadnud ründe demonstreerimiseks vägagi karmid tingimused, mille olemasolu on tõesti selline asi võimalik. Samas ei juhitud tähelepanu sellele, et kui reaalses elus juba sellised võimalused on olemas, siis ei ole GA kasutamine enam määrav.
jaanuar 27, 2009, 18:47 |
Mina ei saa aru, millest selline suur kisa üldse tekkis. Juhtisin tähelepanu probleemile, et asi võimalik (pealkiri ka küsimärgiga). Riigiasutustes alati kombeks öelda võimatu või liialt keeruline. Ma ei hakka mööda Tallinnat teiste turvahuvilistega ringi sõitma ning seda näidet kasutama. Hiljem tõesta, et sa pole pätt või arvuti kurjategija.
https://www.eesti.ee ei ole mul enam mitte mingit etteheidet. GA script samas domeenis ja asi korras. Miks teised saidid sama ei tee ?
__________________
Ja küsimus, kas Eesti riigil on Googlega sõlmitud konfidentsiaalsusleping ? Et lehekülg, kus GA asub, ei tohi sealt mitte mingit infot korjata (sisu kohta); ei hetkel ega ka tulevikus. Meil ei tohi isegi ülikoolides matrikli taha kirjutada tudengi perekonnanime, aga kus minu andmed asuvad lingitakse teise riigi/firma failid (Google on USA seadusruumis).
Paneme teema lukku…ja lahkume sõpradena
jaanuar 27, 2009, 23:28
Ja, et üldse mõistetakse, kui haavatavad on teie andmed sirvijas (IE’ga tegu),
juhul kui arvutis pisemgi troojakas. Demoks üks programm, mille kunagi väga väga ammu tegin.
Avage IE, siis tõmmake programm hiirepoiss käima. Disclamer: antud tarkvara ei installeeri midagi ega muuda mitte mingeid seadeid.
http://ingmar.planet.ee/avalikud_programmid/hiirepoiss.zip
jaanuar 29, 2009, 11:00 |
Turvaprobleemist peaks teavitama RIA-sse:
Toomas Viira
infoturbe juht
toomas.viira[ät]ria.ee
Merje Kaasan
ISKE Tootejuht
merje.kaasan[ät]ria.ee
jaanuar 29, 2009, 11:05 |
Tänud,
http://www.eesti.ee nüüd tipp-topp korras. Enamus asju koondub niikuinii varsti sinna, siis kaob võimalik probleem iseeenesest.
jaanuar 29, 2009, 12:08 |
Mis tähendab korras?
jaanuar 29, 2009, 12:15 |
GA script tõstetud samasse domeeni. Vähemalt minu “teoreetiline risk” seal enam ei tööta…
asemel nüüd:
Hmm…tänan, et nii küsisid. Peale kohvi joomist jõudis kohale, et isegi kui script domeenist lingitakse peab ta ju ikkagi analytics lehe poole pöörduma. Lihtsad asjad ununevad ära. Ja kui see vahepealne osa on “ära varastatud”, peaks saama ikkagit GA funktsionaalsuse enda kasuks pöörata (mitte heas mõttes: ntx olles troojakas). Natuke natuke seda javascripti analüüsima.
Mjah…üldiselt seal js failis sisemiselt tõmmatakse hoopis pilt alla . Pildi downloadil antakse talle urliga GA jaoks vajalikud andmed kaasa.
https://ssl.google-analytics.com/__utm.gif
Et jah…võib öelda, et seal pole enam midagi leiutada. Asjad korras .
veebruar 1, 2009, 16:57 |
Jätkuks veel natuke sõbralikku lõõpimist:
Kas nüüd on need kasutajad, kelle ruutimisteekonna ja sertide usaldatavuse üle otsustavad pahalased, lõpuks kaitsud? 🙂
veebruar 1, 2009, 16:57 |
*kaitstud
veebruar 2, 2009, 17:32 |
Selle blogi HTML’i lõpust leiab ka huvitavaid scripte.
veebruar 2, 2009, 17:48 |
See blogi täielikult wordpress.com “alluvuses”, siin ei saa mina midagi muuta… 🙂